Закон о защите персональных данных 

[внешняя ссылка] - "это открытая площадка для обсуждения вопросов в области защиты персональных данных, проектирования и использования информационных систем персональных данных (ИСПДн). Мы рассматриваем как технические, так и правовые вопросы работы операторов персональных данных."

О, Спасибо. Хотя бы что-то.

Надзор у вас спросит примерно такой перечень вопросов:
1) Внутренние документы регламентирующие порядок хранения, обработки и уничтожения ПД(персональных данных). Это может быть регламент обработки, политика безопасности и прочее - от места.
2) Обязательно спросит приказы о назначении ответственных за сохранность ПД, о разрешении допуска к ПД для каждого сотрудника, который с ними реально работает. Посмотрит должностную того, кто работает с ПД
3) Посмотрит на ведение кадрового делопроизводства, архивного дела. В частности, что, где и как лежит, кому доступно итд.
4) Посмотрит согласие ваших работников на обработку их данных
5) Если вы обычная контора и у вас только договоры да сотрудники, без экзотики - у вас третья категория, по сути мало обязывающая, там просто есть ряд ограничений и предписаний по настройке.
6) Посмотрит, отправляли ли вы уведомление об обработке ПД, и если уведомляли - проверит соответствие реалий - бумаге.
7) Посмотрит договоры с контрагентами.
Плюс есть куча поправок и документов, которые у вас могут попросить в зависимости от ситуации и состояния дел.

Основная суть - проверяется течение, документирование и не превышение уровня необходимой информации, которую вы обрабатывайте и которая охраняется 152ФЗ

Если вам есть что терять - и вы при этом не представляете что вообще происходит - сходите в любую контору с лицензией на охрану конф.информации, поговорите. Либо наймите эксперта.

Если вам терять по сути нечего - не пытайтесь доказывать надзору свою жизненную позицию. Аргументируйте вежливо и твердо - к закону. Косяки признавайте, если что будет не так - получите предписание на устранение косяков. Это не страшно, это жизнь.

В любом случае, не ждите пока к вам придут. Отзвонитесь и загляните в надзор 28-29-30-31 октября, до проверки. Спросите, что, кто конкретно и как вас будут проверять.

Омский надзор работает нормально и честно, поэтому неприятности вас ждут только в рамках закона и только там, где вы нарушаете закон.

Цитата :Если вам терять по сути нечего - не пытайтесь доказывать надзору свою жизненную позицию

Как понять: есть, что терять? Выполнить все предписания роскомнадзора маленькой фирме не реально. Что теперь? Фирму закрывать? Какой max штраф?
Если мы обрабатываем данные не только свои, но и клиентов, то какая у нас категория?
Какое ПО должно стоять на компах? Какие то спец. программы?

Applecat писала : ...Выполнить все предписания роскомнадзора маленькой фирме не реально....

Да не, предписания РКН вполне реально выполнить. Вот ФСТЭК и /или ФСБ - вот это да. Согласия работников вам не требуется. Остается просто сделать несколько документов и спокойно ждать проверки. ИМХО, даже если что-то не доделаете дадут 3 мес. на устранение.

Applecat писала : Какой max штраф?

до 10 кРуб

Applecat писала :Если мы обрабатываем данные не только свои, но и клиентов, то какая у нас категория?

Категория скорее всего 3.

Applecat писала : Какое ПО должно стоять на компах? Какие то спец. программы?

А это не вопрос РКН. Вопросами техзащиты ведает ФСТЭК. РКН только по правам субъектов.

Спасибо. А Разве РКН не будет хранение данных клиентов на компах проверять? Инструкциями и приказами мы запасемся, уже скачали рыбы из нета. А вот с компами то как быть?

Applecat писала :
1)Выполнить все предписания роскомнадзора маленькой фирме не реально.
Если мы обрабатываем данные не только свои, но и клиентов, то какая у нас категория?

1) Реально выполнить Роскомнадзор, тут главное взяться и подумать.
Более того вам скажу, и рекомендации ФСТЭК/ФСБ реально выполнить, только дорого, около 60-100 тыр на машину.
Для справки что нужно в техзащите, почитайте Приказ ФСТЭК РФ от 05.02.2010 N 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных".

Ну и если хотите предметных названий, что за софт вам понадобиться - скорее всего SecretNet c замочком, да грамотно настроенные права. Шифрование уж два года отменили, тут вам поблажка вышла. Но опять же - варианты вариантов, обратитесь уже к кому-то из владельцев лицензии, если вам страшно. Мы тут интернет-анонимы, процесса вашей конторы не видим. А тонкостей в ПД навалом.
Лицензия на конф.информацию есть у СКБ, Коммед-Инфо.
Звоните туда, говорите что у вас ждет проверка вот-вот. И вам бы помочь. Народ там такие ситуации знает. Первичная консультация с раскладами куда и что вам конкретно - обычно бесплатная.

2) Тут вопрос какие именно данные клиентов вы обрабатываете.
Если как обычно ФИО, даты рождения. и клиентов меньше десяти тыщ и все по договору - тут третья, к гадалке не ходи.
А если вы экзотику собираете, типа состояния здоровья, политической/рассовой/национальной пренадлежности - то корячиться вам минимум вторая, а медицина и вся первая.

Applecat писала : Спасибо. А Разве РКН не будет хранение данных клиентов на компах проверять? Инструкциями и приказами мы запасемся, уже скачали рыбы из нета. А вот с компами то как быть?

Может попросить показать какие именно данные вы храните в своей информационной системе.

Храним: ф.и.о. дату рождения, паспортные данные, регистрация

Applecat писала : Храним: ф.и.о. дату рождения, паспортные данные, регистрация

К3.
Почитайте,
[внешняя ссылка] тут понятым языком этапы.

tutbylnick писал : ...рекомендации ФСТЭК/ФСБ реально выполнить, только дорого, около 60-100 тыр на машину

Ну уж... Это даже если соовсем думать не хочется такая сумма не выйдет.

tutbylnick писал : ...скорее всего SecretNet c замочком, да грамотно настроенные права

Для одного юзверя в системе? Вполне Соболя хватит.

tutbylnick писал : Шифрование уж два года отменили, тут вам поблажка вышла.

Ну, скажем так, никто его не отменял - если инфоа передается за пределы организации - шифровать нужно.

tutbylnick писал : Но опять же - варианты вариантов, обратитесь уже к кому-то из владельцев лицензии, если вам страшно.

Это если есть лишние деньги Особенно с упомянутыми Вами конторками.

ТС. В 152ФЗ внесены существенные поправки. Просто изучите 152ФЗ - этого для общения с РКН будет более чем достаточно.

Great_Alexander писал(а) :
Ну уж... Это даже если соовсем думать не хочется такая сумма не выйдет.

Для К1 вполне выйдет, все относительно.

Great_Alexander писал(а) :
Для одного юзверя в системе? Вполне Соболя хватит.

У ТС не сказано, один ли он. Да и шестерка SecretNet в К модификации уже вроде как вообще не требует Соболя в системе. Таки эти даже сертифицировано ФСТЭК вплоть до 1Г.

Great_Alexander писал(а) :
Ну, скажем так, никто его не отменял - если инфоа передается за пределы организации - шифровать нужно.

Причем шифровать ГОСТ и сертифицированными продуктами, випнетом или криптопро к примеру. Это к вопросу о тонкостях.

Great_Alexander писал(а) :
Это если есть лишние деньги Особенно с упомянутыми Вами конторками.

Ну как бы каждый сам оценивает риски-деньги-результат. А за спрос давненько денег не берут. В любой из этих контор вам выкатят смету под ваш случай. А платить-не платить - уже решение инициатора.

Great_Alexander писал(а) :
ТС. В 152ФЗ внесены существенные поправки. Просто изучите 152ФЗ - этого для общения с РКН будет более чем достаточно.

Согласен.

хотелось бы пообщаться с кем-нибудь, кто выжил после проверки Роскомнадзора по 152 ФЗ в редакции от 25.07.2011 года
Ничего хуже нет, чем ждать развязки